Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Important Certaines versions de Microsoft Windows ont atteint la fin de leur support. Notez que certaines versions de Windows peuvent être prises en charge au-delà de la date de fin du dernier système d'exploitation lorsque des mises à jour de sécurité étendues (ESU) sont disponibles. Consultez FAQ cycle de vie – Mises à jour de sécurité étendues pour une liste des produits proposant des mises à jour de sécurité étendues.

Modifier la date

Modifier la description

1er août 2024

  • Modifications mineures de la mise en forme pour la lisibilité

  • Dans la configuration « Configurer la vérification de l’attribut Message-Authenticator dans tous les paquets Access-Request sur le client », le mot « message » a été utilisé au lieu de « paquet »

5 août 2024

  • Ajout d’un lien pour le protocole UDP (User Datagram Protocol)

  • Ajout d’un lien pour le serveur NPS (Network Policy Server)

6 août 2024

  • Mise à jour de la section « Résumé » pour indiquer que ces modifications sont incluses dans les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement

  • Mise à jour des puces dans la section « Prendre des mesures » pour indiquer que nous vous recommandons d’activer les options. Ces options sont désactivées par défaut.

  • Ajout d’une note à la section « Événements ajoutés par cette mise à jour » pour indiquer que les ID d’événement sont ajoutés au serveur NPS par les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement

Contents

Résumé

Les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement traitent d’une faille de sécurité dans le protocole RADIUS (Remote Authentication Dial-In User Service) lié aux problèmes de collision MD5. En raison de la faiblesse des contrôles d'intégrité de MD5, un pirate peut altérer les paquets pour obtenir un accès non autorisé. La vulnérabilité MD5 rend le trafic RADIUS basé sur le protocole UDP (User Datagram Protocol) sur Internet non sécurisé contre la falsification ou la modification des paquets pendant le transit. 

Pour plus d'informations sur cette vulnérabilité, voir CVE-2024-3596 et le livre blanc Attaques de collision RADIUS ET MD5.

REMARQUE Cette vulnérabilité nécessite un accès physique au réseau RADIUS et au serveur NPS (Network Policy Serveur). Par conséquent, les clients qui ont sécurisé leurs réseaux RADIUS ne sont pas vulnérables. En outre, la vulnérabilité ne s'applique pas lorsque la communication RADIUS s'effectue par l'intermédiaire d'un réseau privé virtuel. 

Procédure à suivre

Pour protéger votre environnement, nous vous recommandons d'activer les configurations suivantes. Pour plus d'informations, voir la section Configurations.

  • Définir l'attribut Message-Authenticator dans les paquets Access-Request. Assurez-vous que tous les paquets Access-Request incluent l'attribut Message-Authenticator. Par défaut, l’option permettant de définir l’attribut Message-Authenticator est désactivée. Nous vous recommandons d’activer cette option.

  • Vérifier l'attribut Message-Authenticator dans les paquets Access-Request. Considérer l'application de la validation de l'attribut Message-Authenticator sur les paquets Access-Request. PaquetsAccess-Request ans cet attribut ne seront pas traités. Par défaut, l’option Les messages Access-Request doivent contenir l’attribut message-authenticator est désactivée. Nous vous recommandons d’activer cette option.

  • Vérifier l'attribut Message-Authenticator dans les paquets Access-Request si l'attribut Proxy-State est présent. Si vous le souhaitez, activez l’option limitProxyState si l’application de la validation de l’attribut Message-Authenticator sur chaque paquet Access-Request ne peut pas être effectuée. limitProxyState applique la suppression des paquets Access-Request contenant l’attribut Proxy-state sans l’attribut Message-Authenticator. Par défaut, l’option limitproxystate est désactivée. Nous vous recommandons d’activer cette option.

  • Vérifier l'attribut Message-Authenticator dans les paquets de réponse RADIUS : Access-Accept , Access-Reject et Access-Challenge. Activez l’option requireMsgAuth pour appliquer la suppression des paquets de réponses RADIUS provenant des serveurs distants sans l’attribut Message-Authenticator. Par défaut, l’option requiremsgauth est désactivée. Nous vous recommandons d’activer cette option.

Événements ajoutés par cette mise à jour

Pour plus d'informations, voir la section Configurations.

Remarque Ces ID d’événement sont ajoutés au serveur NPS par les mises à jour Windows en date du 9 juillet 2024 ou ultérieurement.

Le paquet Access-Request a été abandonné parce qu'il contenait l'attribut Proxy-State mais pas l'attribut Message-Authenticator. Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Vous pouvez également ajouter une exception pour le client RADIUS en utilisant la configuration limitProxyState.

Journal des événements

Système

Type d’événement

Error

Source de l’événement

NPS

ID d’événement

4418

Texte de l'événement

Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. Par conséquent, la demande a été abandonnée. L'attribut Message-Authenticator est obligatoire à des fins de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. 

Il s'agit d'un événement d'audit pour les paquets Access-Request sans l'attribut Message-Authenticator en présence de Proxy-State . Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration limitproxystate sera activée.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4419

Texte de l'événement

Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. La demande est actuellement autorisée puisque le limitProxyState est configuré en mode Audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. 

Il s'agit d'un événement d'audit pour les paquets de réponse RADIUS reçus sans l'attribut Message-Authenticator au niveau du proxy. Considérez la possibilité de changer le serveur RADIUS spécifié pour l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration requiremsgauth sera activée.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4420

Texte de l'événement

Le proxy RADIUS a reçu une réponse du serveur <ip/name> avec un attribut Message-Authenticator manquant. La réponse est actuellement autorisée puisque requireMsgAuth est configuré en mode audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus.

Cet événement est enregistré lors du démarrage du service lorsque les paramètres recommandés ne sont pas configurés. Considérez l'activation des paramètres si le réseau RADIUS n'est pas sécurisé. Pour les réseaux sécurisés, ces événements peuvent être ignorés.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4421

Texte de l'événement

La configuration RequireMsgAuth et/ou limitProxyState est en mode <Disable/Audit>. Ces paramètres doivent être configurés en mode Actif pour des raisons de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus.

Configurations

Cette configuration permet au proxy NPS de commencer à envoyer l'attribut Message-Authenticator dans tous les paquets Access-Request. Pour activer cette configuration, utilisez l'une des méthodes suivantes.

Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP

Pour utiliser la MMC NPS, procédez comme suit :

  1. Ouvrez l'interface utilisateur NPS sur le serveur.

  2. Ouvrez les groupes de serveurs Radius distants .

  3. Sélectionnez Radius Server .

  4. Accédez à Authentification/Comptabilité.

  5. Cliquez pour cocher la case La demande doit contenir l'attribut Message-Authenticator.

Méthode 2 : Utiliser la commande netsh

Pour utiliser netsh , exécutez la commande suivante :

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .

Cette configuration exige l'attribut Message-Authenticator dans tous les messages Access-Request et laisse tomber le paquet en cas d'absence.

Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP

Pour utiliser la MMC NPS, procédez comme suit :

  1. Ouvrez l'interface utilisateur NPS sur le serveur.

  2. Ouvrir les clients Radius .

  3. Sélectionnez Client Radius.

  4. Accédez à Paramètres avancés.

  5. Cliquez pour cocher la case Les messages de demande Access-Request doivent contenir l'attribut message-authenticator.

Pour plus d'informations, voir Configuration des clients RADIUS .

Méthode 2 : Utiliser la commande netsh

Pour utiliser netsh , exécutez la commande suivante :

netsh nps set client name = <client name> requireauthattrib = yes

Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .

Cette configuration permet au serveur NPS d'abandonner les paquets Access-Request potentiellement vulnérables qui contiennent un attribut Proxy-State, mais pas d'attribut Message-Authenticator. Cette configuration prend en charge trois modes :

  • Audit

  • Activer

  • Désactiver

En mode audit, un événement d'avertissement (ID d'événement : 4419) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les requêtes.

Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.

  1. Pour configurer les clients en mode audit, exécutez la commande suivante :

    netsh nps set limitproxystate all = « audit »

  2. Pour configurer les clients en mode Activé, exécutez la commande suivante :

    netsh nps set limitproxystate all = « enable » 

  3. Pour ajouter une exception afin d'exclure un client de la validation limitProxystate, exécutez la commande suivante :

    netsh nps set limitproxystate nom = <nom du client> exception = « Oui » 

Cette configuration permet à NPS Proxy de laisser tomber les messages de réponse potentiellement vulnérables sans l'attribut Message-Authenticator. Cette configuration prend en charge trois modes :

  • Audit

  • Activer

  • Désactiver

En mode audit, un événement d'avertissement (ID d'événement : 4420) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les réponses.

Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.

  1. Pour configurer les serveurs en mode audit, exécutez la commande suivante :

    netsh nps set requiremsgauthall = "audit"

  2. Pour activer les configurations pour tous les serveurs, exécutez la commande suivante :

    netsh nps set requiremsgauth all = "enable"

  3. Pour ajouter une exception afin d'exclure un serveur de la validation requireauthmsg, exécutez la commande suivante :

    netsh nps set requiremsgauth remoteservergroup = <nom du groupe du serveur distant> adresse = <adresse du serveur> exception = « yes »

Forum aux questions

Vérifiez les événements du module NPS pour les événements connexes. Considérez l'ajout d'exceptions ou d'ajustements de configuration pour les clients/serveurs concernés.

Non, les configurations présentées dans cet article sont recommandées pour les réseaux non sécurisés. 

Références

Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.